安全无小事——技术团队防守

这里要讨论的是，如何让数千计的开发人员在安全防守安全编程上，得到有效的效果。有人说，我干了xx年，手上从来没有一个项目出过安全漏洞; 还有人说，我一个人做的x项目，也从来没有出现过安全漏洞; 呵呵，集体的智慧不由个人意志来控制，木桶漏水取决于最短的一块。

[[117757]]

一、内防

内防是需要苦练内功的一块，因为招聘标准不一导致技术团队的水平不一，一个上千人的技术团队，一定要有一定的固定流程进行上线质量的把控。

1.1 基础

基础包括了：基础代码框架、基础网络环境、基础硬件环境、基础系统环境。

基础代码框架：统一的去除xss\sql注入等第一层的框架服务，确保出现在每个技术人员的入职学习流程中。

基础网络环境：业务隔离和灵活兼顾的网络，对基础运维网络工程师有更高的要求，确保每一台新上线的机器都在正确安全的网络中。

基础硬件环境：确保新的硬件出现在正确安全的地方，安全性要求高的硬件有固定的选择。

基础系统环境：新系统的投入，有安全标准的套路安装和设置。

1.2 走查

走查使变动中的系统周期性也进行了安全检查。

收集：主要是收集服务，因为公司大了，各种小业务未必会拿得全，特别要关注边缘业务。一个非常好的点，就是在上线系统中进行收集。

查证：各种侦测手段，扫描脚本，应该流程化，代码化，尽可能缩短全公司运行时间，同时尽最大可能扩大面积。

1.3 紧跟

紧跟是各种开源软件如果正在被使用，需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决，缩小影响时间。

这里要求对全公司所使用的开源项目进行有效的登记记录工作，而且上千人的公司，很有可能会漏掉。一个非常好的点，就是在上线系统中进行开源项目检测。

1.4 重点

重点是指对经常报漏洞的项目进行重点关注，确保这些项目：1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点

1.5 重要

重要项目一定要坚持原则，绝对禁止数据的流动、绝对禁止明文重要数据的存放，即便是ceo说可以也不行。

二、外攻

外攻是指通过上面的一系列手段，依旧无法控制短板的项目或人出现，于是要做的事情就是尽一切手段尽快地把这短板找到。

2.1 外援

外援有很多，包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系，心甘情愿被敲诈，当有发现重大短板时第一时间取得联系是非常有效的。

2.2 自建

自建安全响应平台是对外援的补充，许多短板像xss sql注入都是很显而易见的问题，许多还不足以“下血本”，但积小成大，经常出现短板的团队，需要考虑技术培训等活动。

三、另类

非技术漏洞导致的泄密、个人管理密码被盗、科学密码被盗等类似的另类事件，要求各部门不应该出现扁平化的权限控制系统，每人控制一块，可以减少个人失误扩大变成灾难。

四、总结

一个互联网技术企业，绝对不是老板出多少钱就一定不会再出现安全漏洞的，也不是老板出的钱越多就代表越重视的，真正的重视体现在研发人员的日常工作中。

你的企业没有出现过安全问题，不代表你的团队没有短板，更不代表你的线上没有漏洞，更不代表你的用户数据没有在黑市上买卖。

不在乎有没有漏洞，就是认真。